Résumé

  • Un nouveau service de numérotation ne devrait pas devenir interopérable simplement parce qu’un opérateur historique l’apprécie, le déteste moins qu’un rival ou a des raisons politiques de le tolérer. Il ne devrait le devenir qu’après avoir passé des tests publics et reproductibles d’unicité, de sécurité, de sécurité de migration, d’auditabilité, de continuité et de notation des litiges.
  • L’historique de la reconnaissance existante contient des principes utiles: un registre doit avoir une capacité technique, un traitement impartial, une politique documentée, une infrastructure opérationnelle et une coordination fiable. La faiblesse est que l’ancien modèle régional liait la reconnaissance à un seul grand territoire et à la migration des opérateurs historiques, laissant peu de place à une concurrence de services portables après que la pénurie d’IPv4 et la dépendance moderne au RPKI, au RDAP et au DNS inverse ont modifié les risques.
  • La Société des ressources numériques (NRS) peut transformer sa thèse positive en un programme d’assurance: prouver que chaque entrée est traçable jusqu’à l’historique reconnu de l’IANA ou des RIR, que chaque revendication conflictuelle est mise en quarantaine plutôt qu’acceptée silencieusement, que chaque changement de titulaire fait l’objet d’une répétition réversible, que chaque clé et point de terminaison de service a des règles de récupération, et que chaque audit peut reconstituer l’état à partir d’engagements publics et de preuves protégées.
  • Le prix n’est pas la permission de gouverner les réseaux. Le prix est plus étroit et plus précieux: les parties prenantes peuvent traiter les enregistrements NRS comme des preuves de haute assurance et, avec le temps, la reconnaissance par l’IANA peut devenir conditionnelle à la performance plutôt qu’au parrainage.

La reconnaissance doit commencer sur le banc d’essai

La première salle où un futur service de numérotation devrait chercher la reconnaissance n’est pas une salle de conseil. C’est un banc d’essai. Un opérateur devrait pouvoir prendre un préfixe échantillon, un numéro de système autonome échantillon, un changement de titulaire échantillon et un litige échantillon, les soumettre au service, et voir si le résultat préserve l’unicité, explique l’autorité, protège les clés, garde la découverte publique cohérente et laisse une piste d’audit qu’une autre partie compétente peut vérifier.

Ce principe du banc d’essai est important parce qu’il est facile d’idéaliser la reconnaissance des numéros Internet. Le langage public autour des Registres Internet Régionaux mélange souvent l’histoire, la communauté, le territoire, la forme juridique, la tradition politique et le service technique en une seule idée. Un nouveau service peut être rejeté comme illégitime parce qu’il n’est pas issu de cette lignée. Il peut aussi être accepté trop rapidement parce qu’il promet de libérer des échecs de cette lignée.

Aucune de ces réactions ne répond à la question opérationnelle: l’enregistrement reste-t-il sûr, unique, portable et vérifiable lorsque les gens s’y fient?

La Société des ressources numériques est utile précisément parce qu’elle affine cette question. Sa charte publique présente les institutions de ressources numériques comme des comptables dont la légitimité dépend de l’exactitude des enregistrements, de la confiance volontaire et d’une autorité limitée plutôt que de revendications de gouverner les réseaux. C’est un point de départ attrayant, mais une charte n’est pas une assurance. Un service qui s’oppose au contrôle d’accès peut devenir un contrôleur si ses propres règles d’admission, de garde des clés, de correction et de litiges sont opaques.

Un service qui célèbre la portabilité peut fragmenter le système de numérotation s’il signe des revendications attrayantes qui ne se concilient pas avec l’historique mondial existant.

La reconnaissance par la preuve fixe une norme plus élevée que la reconnaissance par amitié. Elle demande à la NRS de montrer, avant d’exiger la confiance, qu’elle peut distinguer un justificatif contrôlé par le titulaire d’une allocation autoritaire, un reçu de transfert d’une autorisation de routage, une note de litige d’une sanction, et un changement de service d’une attribution en double.

Elle demande également à l’IANA, à l’ICANN, à la NRO et à la communauté opérationnelle de définir des conditions mesurables dans lesquelles un service non historique peut interopérer sans avoir à gagner le parrainage politique des institutions qu’il peut discipliner.

Le modèle n’est pas anti-registre. Il est anti-mystique. Le système actuel de registre des numéros Internet est documenté dans laRFC 7020, qui décrit la distribution d’adresses IP et de numéros AS globalement uniques et met l’accent sur l’exactitude des enregistrements. La page actuelle des ressources numériques de l’IANA indique qu’elle coordonne les systèmes d’adressage IP mondiaux et les numéros AS, alloue des pools aux RIR conformément à la politique mondiale, et n’alloue généralement pas directement aux FAI ou aux utilisateurs finaux. Ce sont des faits à préserver, pas des mythes à vénérer. Une NRS fondée sur la preuve préserverait les faits tout en rendant la confiance dans les services contestable.

Ce que l’ancien modèle de reconnaissance a bien fait

L’ancien modèle de reconnaissance ne doit pas être rejeté.ICP-2, les critères pour établir un nouveau Registre Internet Régional, exigeait une capacité technique, des procédures politiques documentées, un large soutien dans la région proposée, la neutralité et un traitement impartial. Il exigeait une connectivité Internet de qualité production, un support DNS inverse, une infrastructure adaptée et du personnel compétent. Il exigeait également des politiques cohérentes avec les objectifs mondiaux de conservation, d’agrégation et d’enregistrement.

Ces exigences codifient plusieurs vérités durables. Un service de numérotation ne doit pas être un cahier privé. Il doit maintenir des services stables en ligne. Il doit être joignable par les personnes qui ont besoin des données. Il ne doit pas traiter inégalement des demandeurs égaux. Il doit documenter les règles selon lesquelles l’état des ressources numériques change. Il doit coordonner avec les autres registres afin qu’une ressource ait un seul statut d’autorité actuel. Il doit supporter la délégation DNS inverse et les services d’enregistrement publics parce que les systèmes en aval les utilisent.

La faiblesse n’est pas que l’ICP-2 se souciait du soutien et de la région. Au début de la période d’expansion régionale, un large soutien des LIR et la migration des accords de service étaient des moyens pratiques d’éviter une scission des services à l’intérieur d’une zone géographique. La faiblesse est que le modèle était construit autour d’un registre par grande région. Il suppose que la fragmentation est empêchée par un monopole territorial plutôt que par une racine mondiale d’unicité et des tests d’interopérabilité stricts. Cette hypothèse est maintenant la question même en cours d’examen.

La pénurie d’IPv4 a changé les enjeux économiques. Les enregistrements de ressources ne sont plus simplement des chemins administratifs vers de futures allocations. Ce sont des preuves utilisées par les acheteurs, les prêteurs, les plateformes cloud, les bureaux anti-abus, les réseaux en amont, les tribunaux, les auditeurs, les assureurs et les clients. Le RPKI a changé les enjeux de sécurité en reliant l’autorité d’allocation et l’autorisation de routage. Le RDAP a changé les enjeux de découverte en rendant les données d’enregistrement structurées lisibles par machine et localisables via des registres de démarrage.

Le DNS inverse reste une dépendance silencieuse pour le courrier électronique, la gestion des abus et l’intégration de services. Un nouveau service doit être jugé par rapport à cette pile de dépendances complète.

Le futur test de reconnaissance devrait donc conserver les obligations opérationnelles de l’ICP-2 tout en les séparant du privilège territorial. Un service peut prouver sa neutralité sans contrôler un continent. Il peut prouver sa capacité technique sans devenir le seul bureau d’une région. Il peut prouver la confiance de la communauté par l’adoption, les résultats d’audit, les résultats des plaintes et le succès des migrations plutôt que par le consentement des opérateurs historiques. Il peut préserver les invariants de la politique mondiale sans hériter de chaque habitude discrétionnaire de l’ancien modèle.

La première preuve est l’unicité

Le premier invariant du système de numérotation est l’unicité. Il peut y avoir de nombreuses opinions sur qui mérite un bloc, ce que signifie un contrat, si une vente doit être conclue, combien de détails doivent être publics, ou quel fournisseur de services est plus efficace. Il ne peut pas y avoir deux attributions actuelles valides de la même plage d’adresses ou du même numéro AS à des titulaires incompatibles. Une fois que l’état actuel en double est normalisé, le reste de l’Internet en paie le prix en confusion de routage, en gestion des abus, en échec d’approvisionnement et en contentieux.

La reconnaissance de la NRS doit commencer par prouver qu’elle ne peut pas accepter silencieusement un état actuel en double. Cela signifie que chaque ressource affirmée doit être vérifiée par rapport aux registres de l’IANA, au RIR concerné ou à l’historique hérité, aux journaux de transfert publics disponibles, aux données RDAP, au matériel RPKI et à toute preuve protégée fournie par le titulaire. Un service n’a pas besoin de publier chaque document pour prouver qu’il a vérifié les classes de conflits.

Il doit publier suffisamment d’engagements, de raisons et d’horodatages contresignés pour montrer qu’une revendication conflictuelle a été soit résolue, mise en quarantaine ou marquée comme litigieuse.

La preuve d’unicité doit également fonctionner aux limites de préfixe. Un /16 peut contenir des fragments transférés, loués, délégués, sous-alloués ou litigieux. Un vérificateur de statut qui traite un bloc comme une étiquette indivisible manquera les chevauchements. Un test de reconnaissance devrait inclure des intervalles exacts, des intervalles couverts, des enregistrements plus spécifiques, de l’espace retourné, des plages réservées, des plages héritées, des plages de numéros AS et des agrégats IPv6.

Il devrait simuler des cas antagonistes: deux parties revendiquent des portions adjacentes; une partie revendique un bloc couvrant après qu’une autre a un enregistrement opérationnel plus spécifique; un titulaire historique retourne un bloc alors que du matériel RPKI périmé reste visible; un successeur corporatif revendique une capacité sous un nouveau nom légal.

La preuve ne doit pas devenir un procès secret. Certaines preuves seront privées parce qu’elles contiennent des contrats, des documents d’identité, des justificatifs de sécurité ou des documents judiciaires. Mais l’état public peut toujours identifier la classe de preuve utilisée, la date de l’examen, le statut actuel, le drapeau de litige le cas échéant, l’engagement de hachage envers les preuves protégées, le rôle de réviseur et la voie d’appel. Un engagement cryptographique ne prouve pas la vérité, mais il empêche qu’un enregistrement ultérieur soit réécrit sans laisser de preuve de changement.

La reconnaissance par la preuve inverse donc la charge. La NRS ne dirait pas: « acceptez-nous parce que nous sommes l’avenir ». Elle dirait: « essayez de nous faire signer un statut actuel en double; essayez de nous faire manquer un conflit plus spécifique; essayez de nous faire modifier l’historique sans détection; essayez de nous faire cacher un litige en tant qu’allocation propre ». Si des testeurs indépendants ne peuvent pas briser ces invariants, la confiance commence à avoir une base technique.

La preuve de sécurité doit couvrir les clés, les personnes et la récupération

La sécurité ne peut pas être réduite à un site Web sécurisé. Un service de ressources numériques touche plusieurs couches de sécurité: authentification du titulaire, privilèges du personnel, clés de signature, objets RPKI, publication du dépôt, points de terminaison du service RDAP, demandes de changement DNS inverse, approbations de transfert, verrous de litige, intégrité des sauvegardes et récupération d’urgence. Un service peut avoir un chiffrement fort et une vérification d’autorité faible. Il peut avoir un stockage de clés matériel et permettre néanmoins à un seul initié d’approuver un changement d’état dangereux.

La NRS devrait définir une preuve de sécurité qui couvre à la fois les contrôles cryptographiques et institutionnels. Les contrôles cryptographiques devraient inclure des cérémonies de clés claires, la séparation des fonctions de signature en ligne et hors ligne si nécessaire, une rotation documentée des clés, une révocation et une récupération, des journaux inviolables, des points de contrôle de témoins indépendants, un horodatage sécurisé, des vérifications d’intégrité du dépôt et une restauration testée à partir de la sauvegarde.

Les contrôles institutionnels devraient inclure la séparation des tâches, un double contrôle pour les changements à haut risque, un accès à moindre privilège, des déclarations de conflit du personnel, des enregistrements d’audit protégés, des catégories de divulgation d’incident et des tests de pénétration externes.

L’architecture RPKI dans laRFC 6480est une discipline utile parce qu’elle lie les certificats de ressources aux adresses IP ou numéros AS alloués et permet de construire des filtres de route à partir d’autorisations d’origine de route signées. Elle expose également pourquoi la reconnaissance ne peut pas être informelle. Un certificat de ressource erroné ou capturé peut affecter la façon dont les réseaux évaluent la validité de l’origine de la route. Une NRS fondée sur la preuve ne devrait pas revendiquer une autorité RPKI qu’elle ne possède pas; elle devrait montrer comment ses preuves interagissent avec les certificats existants, la garde hébergée ou déléguée, le calendrier de transfert, le risque de révocation et les clés contrôlées par le titulaire.

La preuve de sécurité doit inclure des exercices de défaillance. Que se passe-t-il si un titulaire perd une clé de signature? Que se passe-t-il si deux dirigeants de la même entreprise soumettent des instructions incompatibles? Que se passe-t-il si une ordonnance judiciaire gèle un transfert revendiqué? Que se passe-t-il si un employé du registre est compromis? Que se passe-t-il si un point de terminaison de service est indisponible pendant une fenêtre de transfert? Que se passe-t-il si un journal de témoin est en panne mais que le registre reçoit des demandes de changement urgentes?

Un service qui n’a pas de réponse publiée à ces questions demande la confiance sans carte.

L’argument le plus fort pour la NRS n’est pas qu’elle ne faillira jamais. C’est que ses défaillances seront limitées, visibles et réparables. Un incident devrait avoir une classification, un ensemble de ressources affectées, une fenêtre temporelle, une mesure de confinement, un avis au client, une révision indépendante et un enregistrement de récupération. Une défaillance de sécurité silencieuse est une défaillance de gouvernance. Une défaillance détectée, divulguée et corrigée peut augmenter la confiance si la correction prouve que le service ne dépend pas du déni institutionnel.

La preuve de migration est là où la portabilité devient réelle

La portabilité est facile à soutenir dans un discours et difficile à exécuter à 02h00 lorsque le service RDAP d’un titulaire, le DNS inverse, les certificats RPKI, le contact anti-abus, le dossier du prêteur, la liste d’autorisation du client et l’enregistrement de filtrage en amont dépendent tous d’un état de registre cohérent. La valeur de la NRS n’est pas le slogan selon lequel un réseau devrait pouvoir quitter une relation de registre défaillante. La valeur est une manière testée de partir sans scinder l’enregistrement ni choquer les services qui le lisent.

La preuve de migration devrait donc être l’un des tests de reconnaissance centraux. La NRS devrait pouvoir exécuter un déplacement à sec d’un enregistrement de service historique vers un enregistrement servi par la NRS, et inversement si nécessaire, tout en préservant un statut d’autorité unique.

Le test devrait inclure un paquet d’identité du titulaire, un intervalle de ressources, un ancien point de terminaison de service, un nouveau point de terminaison de service, un état de changement en attente, une notation de litige, une période de grâce, un déclencheur de retour en arrière, une catégorie d’avis public, un engagement de preuve protégée et une signature de témoin indépendant.

Le test doit distinguer trois événements souvent confondus. Un transfert de titulaire change la partie ayant des droits ou un contrôle reconnus. Un événement de portabilité de service change le fournisseur de services qualifié maintenant ou publiant l’enregistrement. Un changement de routage modifie la façon dont le trafic est émis ou accepté. Un système sain peut changer l’un sans prétendre changer tous les autres. Un titulaire devrait pouvoir déplacer le service d’enregistrement sans changer automatiquement l’AS d’origine. Un transfert ne devrait pas devenir définitif simplement parce qu’une route apparaît.

Une route ne devrait pas devenir invalide simplement parce qu’un déplacement de service est en attente.

Le RDAP fournit une leçon publique utile. LaRFC 9224explique comment les clients trouvent les services RDAP faisant autorité via les données d’amorçage de l’IANA et une logique de correspondance la plus longue pour l’espace d’adressage IP. Cela ne crée pas d’autorité pour la NRS, mais cela montre la valeur d’une couche de découverte publique qui pointe vers le service pour une ressource. Une migration NRS fondée sur la preuve devrait montrer comment le pointeur de découverte, le point de terminaison supplémentaire ou le statut de reconnaissance change d’une manière que les clients peuvent vérifier.

La preuve de migration a également besoin de continuité client. Un grand réseau peut avoir des clients dont les listes d’autorisation, les systèmes d’approvisionnement, les vérifications de réputation de courrier électronique, les fournisseurs de nettoyage DDoS et les processus d’apport de sa propre adresse IP (BYOIP) dépendent de données d’enregistrement stables. La NRS ne devrait pas traiter ces dépendances comme du bruit externe.

Un paquet de migration devrait inclure une déclaration de continuité qui identifie quels champs publics ont changé, quels champs publics sont restés, quels avis ont été émis, quels services périmés pourraient rester visibles et comment une partie prenante peut vérifier l’état final.

Le test devrait être répété sur des cas difficiles: IPv4 hérité, IPv4 transféré, utilisation opérationnelle louée, attributions IPv6, numéros AS, restructurations d’entreprise, instructions d’insolvabilité, garde déléguée RPKI et transfert DNS inverse. Un service qui ne peut migrer qu’un exemple artificiel propre n’a pas prouvé la portabilité. Un service qui peut migrer des enregistrements désordonnés mais légaux avec des contrôles de litige et un retour en arrière a gagné une forme de reconnaissance plus sérieuse.

La preuve d’audit signifie que des étrangers peuvent reconstituer l’histoire

L’auditabilité n’est pas la même chose que la transparence. La transparence dit que certains enregistrements sont publics. L’auditabilité dit qu’un étranger compétent, avec un accès autorisé aux preuves protégées lorsque cela est approprié, peut reconstituer l’histoire conséquente et détecter les changements non autorisés. Pour les services de numérotation, l’histoire inclut qui a affirmé l’autorité, quelles preuves ont été vérifiées, quel statut public a changé, quels services dépendants ont été affectés, qui a approuvé le changement, quelles objections ont été faites, et comment l’état final a été réconcilié avec l’enregistrement mondial.

Une preuve d’audit NRS devrait commencer par un exercice de reconstitution. Donnez à un auditeur indépendant une ressource et une période de temps. L’auditeur devrait pouvoir reconstituer l’ancien statut, chaque événement en attente, chaque changement approuvé, chaque demande rejetée ou mise en quarantaine, chaque point de terminaison de service, chaque transition de clé, chaque note de litige et chaque engagement public. L’auditeur devrait pouvoir identifier les lacunes, les enregistrements périmés et les historiques incohérents sans se fier aux assurances orales de la direction.

Les techniques à ajout seulement aident, mais seulement si leurs limites sont respectées. LaRFC 9162, qui définit un modèle de journal de transparence, décrit des têtes d’arbre signées, des preuves d’inclusion et des preuves de cohérence. Ces outils peuvent rendre l’équivoque détectable lorsque les moniteurs comparent les vues. Ils ne prouvent pas que la décision sous-jacente était correcte. La NRS devrait utiliser de telles structures comme des contrôles de preuve, pas comme un substitut à la politique, à la vérification d’identité ou au remède.

La preuve d’audit devrait avoir des couches publiques et protégées. La couche publique peut montrer le statut actuel, la classe d’événement, l’heure, le rôle de réviseur, la catégorie de raison non sensible, le drapeau de litige, le point de terminaison de service et les engagements cryptographiques. La couche protégée peut contenir des contrats, des documents d’identité, des factures, des résolutions du conseil, des ordonnances judiciaires, des secrets de sécurité ou des conditions de transfert confidentielles. L’auditeur peut tester le lien entre les couches sans publier de matériel sensible.

L’audit externe nécessite également de l’indépendance. Un service ne devrait pas sélectionner uniquement des réviseurs amicaux, cacher la portée, ne publier que des compliments ou enterrer des conclusions défavorables dans un langage vague. Le projet dedocument de gouvernance des RIR version 2 de la NROpointe vers des audits périodiques et ad hoc, des rapports sommaires et la continuité d’urgence. Que ce projet devienne final ou change, la direction est importante: la continuité du registre devrait être testable par des parties au-delà de la direction.

La NRS peut aller plus loin. Elle peut publier des méthodes d’audit, des enregistrements échantillons, des règles d’expurgation, des catégories de conclusions, des délais de réponse, des preuves de correction et des statistiques de conclusions répétées. Elle peut permettre aux titulaires d’exporter leur propre historique d’événements. Elle peut laisser les parties prenantes vérifier qu’un auditeur a vu le matériel protégé derrière un engagement public. Cela ferait de l’audit une fonctionnalité de service plutôt qu’une cérémonie annuelle.

Le soutien communautaire devrait signifier des preuves d’adoption

L’ICP-2 demande à un candidat RIR de démontrer un large soutien des LIR dans une région proposée. Dans un modèle territorial, cela a du sens. Un registre censé desservir un continent ne peut pas être imposé à une communauté qui ne l’utilisera pas. Dans un modèle de service portable, en revanche, le soutien communautaire ne devrait pas signifier la permission des opérateurs historiques ou un consensus indéfini recueilli par les mêmes organisations dont le monopole est examiné.

Pour la NRS, le soutien devrait être mesuré par des preuves d’adoption. Combien de titulaires soumettent des justificatifs volontaires? Combien d’opérateurs interrogent le service? Combien d’auditeurs sont prêts à le vérifier? Combien de clients logiciels peuvent consommer ses données publiques? Combien de prêteurs, de courtiers, de fournisseurs cloud ou d’amonts acceptent ses reçus comme preuves supplémentaires? Combien de litiges sont traités sans état en double? Combien de répétitions de migration se terminent sans choc opérationnel? Ce ne sont pas des mesures de popularité. Ce sont des mesures de confiance.

Les preuves d’adoption empêchent également un piège familier. Les réformateurs cherchent souvent la reconnaissance d’institutions qui ont des incitations à la refuser ou à la retarder. Les opérateurs historiques peuvent présenter leur propre non-coopération comme preuve que le nouvel entrant manque de soutien. Un modèle fondé sur la preuve ne devrait pas laisser le gardien décider si la sortie existe. Si la NRS peut satisfaire des tests définis et que de véritables parties prenantes utilisent ses preuves, l’absence d’enthousiasme des opérateurs historiques ne devrait pas être fatale.

Le risque inverse est la capture par une faction étroite. Un service peut être populaire parmi les titulaires mécontents et néanmoins dangereux pour l’Internet plus large. Les preuves d’adoption doivent donc être équilibrées avec des tests de conflit, la gestion des abus, l’accès des petits titulaires, la répartition géographique, la transparence financière, l’examen indépendant, les résultats de sécurité publique et les résultats d’appel. La reconnaissance par la preuve n’est ni un veto des opérateurs historiques ni des applaudissements insurrectionnels.

Les propres documents de première main de la NRS rendent cela particulièrement important. La FAQ de la NRS décrit une organisation mondiale à but non lucratif qui fait campagne, responsabilise et soutient les entreprises autour des intérêts IP. La charte souligne les limites du comptable, l’exactitude des enregistrements et la reconnaissance volontaire. Ces déclarations soutiennent une direction positive, mais elles montrent également pourquoi une preuve externe est nécessaire. Une organisation de membres doit prouver qu’elle peut servir de couche de preuve sans simplement convertir la loyauté des membres en autorité.

La norme correcte est donc une confiance graduée. Au premier niveau, les enregistrements NRS peuvent être traités comme des preuves supplémentaires du titulaire. Au deuxième, ils peuvent être acceptés par des parties privées dans le cadre de la diligence de transfert, de financement, d’assurance ou d’approvisionnement. Au troisième, ils peuvent devenir des entrées reconnues pour les transitions de service en rapport avec l’IANA ou les RIR. À chaque niveau, la preuve étend la confiance; le parrainage ne le fait pas.

L’IANA peut certifier sans devenir un propriétaire politique

Le rôle actuel de l’IANA en matière de ressources numériques est étroit et important. Sa page sur les ressources numériques identifie la responsabilité de la coordination mondiale des systèmes d’adressage IP et des numéros AS, l’allocation de pools aux RIR conformément à la politique mondiale, et la documentation des attributions de protocole de l’IETF. Elle n’alloue généralement pas directement aux FAI ou aux utilisateurs finaux. Cette étroitesse est une force. La question est de savoir comment un futur chemin de reconnaissance peut utiliser la position d’unicité de l’IANA sans en faire un propriétaire politique de chaque litige en aval.

La réponse est la certification par invariant, pas l’approbation par faveur. La reconnaissance en rapport avec l’IANA devrait demander si un service préserve l’unicité mondiale, publie des points de terminaison cohérents, prend en charge les services dépendants sécurisés, fournit une exportation de preuves, coopère à la continuité d’urgence, passe des audits, expose des catégories de refus motivé et permet des révisions. Elle ne devrait pas demander si le service partage la même politique qu’un opérateur historique ou s’il promet de protéger un monopole régional existant de la concurrence.

LeSLA pour les services de numérotation IANAde 2016 est un exemple existant de responsabilité formelle de service à une frontière reconnue. Il est entre l’ICANN et les cinq RIR, pas entre l’IANA et chaque titulaire. Il ne crée pas de droits pour la NRS. Mais il prouve que le service de ressources numériques peut être défini par des accords, des niveaux de service, des révisions et des escalades plutôt que par une aura. La future reconnaissance peut étendre cette discipline: spécifier le service, mesurer le service, réviser le service, et définir la conséquence lorsque le service échoue.

La certification IANA devrait également être modulaire. Un service pourrait d’abord être certifié pour la compatibilité des journaux d’audit, puis pour les reçus supplémentaires du titulaire, puis pour les répétitions de migration, puis pour les événements de portabilité de service en direct dans des conditions étroites. Un module échoué ne devrait pas détruire les preuves non liées. Un module réussi ne devrait pas accorder une autorité générale. La reconnaissance modulaire maintient le service honnête parce que chaque revendication a une portée définie.

Cette approche protège également les opérateurs historiques. Une NRS fondée sur la preuve ne peut pas exiger une reconnaissance complète en invoquant le langage de la réforme. Elle doit passer les mêmes tests. Si elle échoue à l’unicité, à la sécurité, à la migration ou à l’audit, elle n’obtient pas le niveau de confiance suivant. Si un RIR historique échoue à des tests comparables, il devrait faire face à un examen comparable. La reconnaissance devient une discipline de service public, pas un bouclier politique.

Le test de l’opérateur est pratique, pas idéologique

Les opérateurs de réseau ne sont pas servis par la pureté idéologique. Ils ont besoin d’enregistrements auxquels d’autres réseaux, fournisseurs, clients et autorités peuvent faire confiance. Avant de se fier à la NRS, un opérateur devrait poser une liste de contrôle pratique. Puis-je prouver que cette ressource est la même ressource reconnue dans l’historique IANA et RIR? Puis-je prouver qu’aucune revendication actuelle conflictuelle n’est cachée? Puis-je exporter mes preuves si je pars? Puis-je récupérer après une perte de clé? Puis-je maintenir l’autorisation d’origine de route pendant un changement de service?

Mes clients peuvent-ils vérifier l’état public sans voir des contrats confidentiels?

L’opérateur devrait également tester la latence. Un enregistrement précis mais lent peut faire échouer une transaction. Une ordonnance judiciaire, une fermeture d’entreprise, une clause de prêt, une urgence d’abus ou une migration de client peut avoir une fenêtre de temps. La NRS devrait publier des temps de réponse cibles pour les changements à haut risque, les mises à jour ordinaires, les drapeaux de litige, les gels d’urgence, les réponses d’audit et les retours en arrière. Elle devrait publier la performance réelle ainsi que les cibles.

Le coût importe. Un service portable techniquement élégant mais tarifé uniquement pour les grands détenteurs d’adresses reproduirait la même inégalité qu’il critique. La preuve de reconnaissance devrait inclure l’accès pour les petits réseaux, des classes de frais claires, des dispenses de frais ou des niveaux d’assurance échelonnés, et une explication publique de ce que chaque service payant couvre. Si l’audit, la révision et la migration coûtent de l’argent, le coût devrait être visible plutôt que caché derrière des frictions discrétionnaires.

Les opérateurs devraient tester le refus. Un service de registre équitable doit parfois dire non: non aux revendications en double, non à l’autorité falsifiée, non aux successeurs corporatifs non vérifiés, non aux changements de clé dangereux, non à la divulgation abusive, non aux demandes d’urgence en dehors de la norme définie. La qualité d’un service se montre non seulement par les approbations mais par les refus motivés. La NRS devrait publier des catégories de refus, des voies d’appel, des options de correction et des statistiques.

Le test final de l’opérateur est la capacité de survie. Que se passe-t-il si la NRS elle-même échoue, perd son financement, est poursuivie, change de direction, subit une violation grave ou est capturée par une faction? Une institution fondée sur la preuve devrait rendre ses enregistrements portables hors d’elle-même. Elle devrait avoir un dépôt fiduciaire, des règles de succession, des points de contrôle de témoins indépendants, une exportation par le titulaire et un chemin de coucher de soleil. Un service qui ne peut pas être quitté n’est pas une institution de portabilité; c’est un nouveau verrouillage.

L’échec doit être disqualifiant lorsqu’il menace l’unicité

La reconnaissance fondée sur la preuve devrait être généreuse quant à l’expérimentation et sévère quant aux invariants fondamentaux. Un nouveau service peut améliorer son interface utilisateur, son rythme de rapport, ses catégories de plaintes ou sa conception de frais sans perdre toute forme de confiance. Il ne peut pas être négligent quant à l’état actuel en double, aux changements de clé non autorisés, aux incidents de sécurité cachés, à la falsification de preuves publiques, au refus de coopérer avec un audit externe ou à l’incapacité d’exporter les enregistrements des titulaires.

La ligne dure est nécessaire parce que les ressources numériques entraînent des effets externes. Un mauvais changement d’état ne nuit pas seulement au fournisseur de services et à son client. Il peut affecter l’acceptation de route, la livraison de courrier électronique, la réponse aux abus, les vérifications d’approvisionnement, l’intégration cloud, le financement, la continuité client et les litiges transfrontaliers. Plus l’Internet se fie à un enregistrement, moins il peut y avoir de tolérance pour un conflit invisible.

La disqualification devrait également être limitée. Si la NRS échoue à un test de migration RPKI, elle ne devrait pas nécessairement perdre tout rôle de preuve supplémentaire du titulaire. Si elle échoue à une preuve d’inclusion de journal d’audit, elle devrait suspendre les transitions en direct à haut risque jusqu’à correction. Si elle accepte un état actuel en double, la classe de ressources affectée devrait être gelée, toutes les parties prenantes notifiées, et un examen indépendant déclenché. La discipline fonctionne mieux lorsque les conséquences correspondent à l’invariant échoué.

C’est là que le parrainage échoue. Un système de parrainage tolère souvent l’échec d’un opérateur historique parce qu’il est systémiquement important, tout en traitant l’échec plus petit d’un nouvel entrant comme preuve d’inaptitude. Il permet également des exceptions amicales. La reconnaissance fondée sur la preuve devrait publier les mêmes classes pour chaque service qualifié: avertissement, remède, module suspendu, opérateur d’urgence, restitution, perte permanente de qualification et audit post-échec.

La NRS devrait accueillir cette sévérité. Une thèse NRS positive dépend du fait d’être plus difficile à capturer que le modèle qu’elle critique. Si elle demande des normes plus faciles parce qu’elle est réformiste, elle affaiblit son propre cas. Si elle invite des tests rigoureux et survit, elle donne aux opérateurs une raison de se fier qui ne dépend pas de la rhétorique.

La reconnaissance par la preuve change les incitations

Le plus grand avantage de la reconnaissance fondée sur la preuve n’est pas seulement qu’un nouveau service peut entrer. C’est que chaque service existant doit devenir plus lisible. Les opérateurs historiques ne peuvent plus répondre à une proposition de portabilité en disant qu’ils sont reconnus et que le challenger ne l’est pas. Ils doivent montrer leurs propres contrôles de sécurité, leur auditabilité, leur sécurité de migration, leurs raisons de refus, leur continuité de service et leur préparation aux urgences.

Cette discipline améliore le système actuel avant même que la NRS n’obtienne une confiance formelle. Si la NRS publie un meilleur format d’exportation pour le titulaire, un opérateur historique doit expliquer pourquoi sa propre exportation est plus faible. Si la NRS publie une notation de litige plus forte, un opérateur historique doit expliquer des gels opaques. Si la NRS démontre une correction plus rapide sans sacrifier la sécurité, un opérateur historique doit justifier le retard. La concurrence en qualité de preuve est plus saine que la concurrence en accès politique.

Elle change également le rôle de l’IANA. Au lieu de décider qui appartient à un club, la reconnaissance en rapport avec l’IANA peut devenir une échelle d’assurance. Les services qui satisfont l’échelle obtiennent une interopérabilité étroitement définie. Ceux qui échouent perdent cette classe de confiance. L’échelle peut être publique, testable et révisable. C’est un modèle plus stable que celui où le statut de reconnaissance est si difficile à gagner et si difficile à perdre qu’il devient à la fois une franchise et un bouclier.

Le modèle ne résout pas toutes les questions juridiques. Le traitement de la propriété, l’interprétation des contrats, les prêts garantis, la priorité d’insolvabilité, les sanctions et l’autorité judiciaire restent des questions juridictionnelles et factuelles. Un service de registre fondé sur la preuve peut enregistrer une ordonnance judiciaire, un statut de litige ou un paquet de preuves de transfert; il ne peut pas faire que tous les tribunaux soient d’accord. Cette humilité fait partie de la conception. La reconnaissance devrait préserver un enregistrement propre des engagements et des preuves, pas convertir la NRS en tribunal mondial.

Le modèle n’exige pas non plus que le public accepte chaque revendication de la NRS d’un coup. La confiance peut être incrémentale: preuve supplémentaire, diligence privée, test logiciel, acceptation par les auditeurs, pilotes de portabilité de service limités, intégration de découverte publique, modules de reconnaissance formels. Un système qui ne peut imaginer que le rejet total ou l’autorité totale a déjà trop concédé à la logique du parrainage.

Une échelle de qualification peut commencer avant l’autorité formelle

Le chemin pratique pour la NRS est une échelle, pas une falaise. Le premier échelon peut être des preuves volontaires du titulaire: un titulaire soumet une identité, un historique de ressources, une autorité de contact et des faits de service actuels, et la NRS retourne un reçu signé qui est clairement supplémentaire aux enregistrements reconnus de l’IANA et des RIR. Ce reçu ne devrait pas prétendre allouer quoi que ce soit. Sa valeur est qu’un titulaire peut porter un paquet de preuves cohérent chez un prêteur, un acheteur, une plateforme cloud, un amont, un assureur ou un auditeur.

Le deuxième échelon peut être une reconstitution indépendante. La NRS peut inviter des auditeurs et des moniteurs techniques à choisir des reçus échantillons et à reconstituer la chaîne à partir d’enregistrements publics, de preuves protégées du titulaire et d’engagements publics. Le résultat n’est pas une promesse que chaque réclamation de titulaire est correcte. C’est une preuve que le service peut préserver des preuves, divulguer l’incertitude, rejeter les conflits et expliquer pourquoi une réclamation a le statut qu’elle a. C’est déjà plus utile qu’un dossier privé qu’aucun étranger ne peut tester.

Le troisième échelon peut être une répétition de dépendance en direct. Pour une ressource dont le statut actuel reconnu reste inchangé, la NRS peut simuler un déplacement de service: préparation du point de terminaison RDAP, continuité du contact anti-abus, plan de coordination DNS inverse, plan de transition de clé RPKI, avis au client, retour en arrière, avertissement de données périmées et langage de statut public. Une répétition permet aux opérateurs de découvrir les modes de défaillance avant qu’une reconnaissance racine ne soit en jeu.

Elle permet également aux opérateurs historiques, s’ils le choisissent, de voir que la portabilité n’est pas un raid déguisé sur l’unicité.

Le quatrième échelon peut être une confiance étroite par des parties privées. Un courtier peut accepter un reçu NRS comme un élément de diligence de transfert. Un prêteur peut exiger qu’un titulaire maintienne une exportation de preuves NRS parallèlement à l’enregistrement du registraire actuel. Un fournisseur cloud peut utiliser la notation de litige NRS comme un signal de risque supplémentaire. Ces utilisations ne lient pas l’IANA. Elles démontrent si la preuve est utile dans des décisions réelles et si le service peut répondre à des questions sous pression.

Le cinquième échelon peut être une reconnaissance pilote formelle pour des classes d’événements définies. Un pilote pourrait permettre un déplacement de registraire qualifié pour un ensemble limité de ressources à faible conflit, avec un retour en arrière pré-établi, une surveillance indépendante et des déclarations explicites selon lesquelles le routage reste en dehors du grand livre. Un autre pilote pourrait permettre une publication supplémentaire d’urgence si un service historique est indisponible, sans changer le statut du titulaire.

Chaque pilote devrait avoir des critères d’entrée, des règles de publication, des règles d’incident, des règles de terminaison et un rapport public.

Cette échelle est politiquement plus sûre qu’une exigence d’équivalence instantanée. Elle permet à un nouveau service de gagner la confiance proportionnellement à la performance observée. Elle donne également au système existant une chance de correspondre aux améliorations. Si un opérateur historique publie de meilleures exportations, des corrections plus rapides, des états de litige plus clairs et des audits plus solides en réponse, la NRS a déjà amélioré le marché de la preuve. Si les opérateurs historiques ne répondent pas et que la NRS continue de passer les tests, le cas pour une reconnaissance plus forte devient empirique.

La norme de preuve doit inclure des cas antagonistes

Une démonstration douce ne suffit pas. Tout service peut sembler sûr lorsque chaque demandeur est coopératif, chaque ressource est propre et chaque auditeur est amical. Un test de reconnaissance devrait inclure des cas antagonistes conçus pour exposer des hypothèses faibles. Le but n’est pas d’embarrasser un service candidat. Le but est d’apprendre si le service échoue en toute sécurité.

Un cas antagoniste est l’autorité périmée. Une personne qui contrôlait autrefois un compte de titulaire présente d’anciens documents et exige un déplacement de registraire. Un service sûr vérifie la succession corporative, l’autorité actuelle, la révocation et les instructions concurrentes avant d’émettre un changement d’état public. Si les preuves sont incomplètes, le service enregistre une enquête protégée ou une demande rejetée, pas un événement propre.

Un autre cas est le conflit d’intervalle. Un bloc couvrant a un titulaire historique, un fragment plus spécifique a un client opérationnel actuel, et un tiers prétend avoir acheté le bloc couvrant entier. Un service sûr n’aplatit pas le conflit en un gagnant. Il cartographie les intervalles, identifie quelles revendications se chevauchent, vérifie si l’utilisation plus spécifique a une autorité séparée, et met en quarantaine les parties litigieuses jusqu’à ce que la classe de preuve soit résolue.

Un troisième cas est le chantage de service. Un registraire sortant refuse de coopérer avec le déplacement d’un titulaire et avertit les parties prenantes que tout nouvel enregistrement est illégitime. Une conception de portabilité sûre ne laisse pas le registraire sortant opposer son veto à la sortie par le silence. Elle exige un préavis, donne au registraire sortant une fenêtre d’objection définie, enregistre tout litige réel, et permet le déplacement si l’autorité et le plan de dépendance du titulaire passent les tests objectifs.

Un quatrième cas est la capture par le réformateur. Un partisan d’un nouveau registraire soumet une réclamation faible et s’attend à un traitement favorable parce que le service existe pour défier les opérateurs historiques. Une NRS sûre dit non et publie la catégorie de raison. Elle prouve son indépendance en décevant ses alliés aussi bien que ses adversaires. C’est essentiel parce qu’une institution de réforme qui ne peut pas refuser ses amis ne restera pas un comptable longtemps.

Un cinquième cas est la compromission de sécurité. Un attaquant obtient un justificatif de titulaire et tente de changer les points de terminaison de service pendant un week-end. Un service sûr utilise des contrôles de changement à haut risque, une confirmation hors bande, des périodes d’attente ou une révision d’urgence, et il laisse des preuves de la tentative. Le titulaire devrait pouvoir récupérer sans que l’enregistrement public ne prétende que l’attaque n’a jamais eu lieu.

Ces cas transforment la reconnaissance en une discipline d’ingénierie. La NRS peut publier les résultats des tests sans exposer de preuves protégées. Elle peut déclarer qu’une demande d’autorité périmée a été rejetée, qu’un conflit d’intervalle a été mis en quarantaine, qu’une objection de registraire sortant manquait de preuves, que la réclamation faible d’un allié a échoué, et qu’une attaque de justificatif a été contenue. De telles divulgations feraient plus pour la confiance qu’un langage institutionnel poli.

Le parrainage échoue des deux côtés du litige

Le parrainage est souvent défendu comme stabilité. L’argument est que les institutions existantes sont connues, que les réseaux en dépendent déjà, et que laisser un challenger interopérer créera de la confusion. Il y a du vrai dans la préoccupation de stabilité. Un remplacement soudain non supervisé serait imprudent. Mais le parrainage n’est pas la même chose que la stabilité. Le parrainage protège la position du décideur. La stabilité protège les invariants du grand livre.

La différence compte pour les opérateurs historiques. Si un service historique est véritablement fiable, la reconnaissance fondée sur la preuve le montrera. Son statut public sera cohérent, ses corrections opportunes, ses incidents de sécurité traités, ses audits propres, ses règles de migration équitables et ses plans d’urgence testés. Un tel opérateur historique ne devrait pas craindre une comparaison objective. Il devrait craindre seulement une norme qui donne un crédit égal à des preuves plus faibles.

La différence compte pour les challengers. Un challenger qui fait face au parrainage a une incitation à construire une politique autour du grief. Un challenger qui fait face à la preuve a une incitation à construire des enregistrements plus solides. La NRS est plus susceptible de mûrir si le chemin vers la confiance est visible et difficile. Si le seul chemin est de persuader les opérateurs historiques d’abandonner leurs privilèges, chaque débat devient existentiel. Si le chemin est de passer des tests, le service peut s’améliorer un module à la fois.

La différence compte également pour les utilisateurs des données. Une plateforme cloud, un bureau anti-abus, un courtier, un prêteur ou une agence publique n’a pas besoin de rejoindre un débat philosophique pour évaluer une preuve. Elle peut demander si l’enregistrement a un drapeau de conflit, si une migration a été répétée, si le registraire est qualifié, si l’événement est actuel, si les services dépendants ont changé et si un auditeur peut reconstituer la base. Ce sont des questions pratiques avec des réponses pratiques.

Le parrainage affaiblit donc à la fois la responsabilité et la confiance. Il refuse aux challengers un chemin équitable tout en permettant aux opérateurs historiques de s’appuyer sur un statut hérité. Un régime de preuve est plus strict mais plus juste. Il dit à la NRS: vous ne pouvez entrer que dans la mesure où vous pouvez prouver la sécurité. Il dit aux opérateurs historiques: vous ne pouvez rester dignes de confiance que dans la mesure où vous pouvez prouver le service. C’est le marché dont un système de numérotation en pénurie a besoin.

L’engagement NRS positif

La NRS peut faire une offre puissante à l’Internet si elle énonce l’engagement clairement. Nous ne demanderons pas la reconnaissance parce que nous nous opposons aux opérateurs historiques. Nous ne demanderons pas la reconnaissance parce que nos membres sont frustrés. Nous ne demanderons pas la reconnaissance parce qu’un sponsor politique nous préfère. Nous demanderons la reconnaissance uniquement pour les fonctions que nous pouvons prouver.

Pour l’unicité, l’engagement est un état actuel unique, la détection des chevauchements, la quarantaine des conflits et la notation publique des litiges. Pour la sécurité, c’est la séparation des tâches, des clés protégées, des engagements attestés, la divulgation des incidents et une récupération testée. Pour la migration, c’est des preuves de répétition à sec, la continuité client, le retour en arrière et aucune confusion entre la portabilité du service, le transfert du titulaire et le changement de routage.

Pour l’audit, c’est une reconstitution indépendante, des droits d’exportation, un accès aux preuves protégées et une correction publiée. Pour la gouvernance, c’est un refus motivé, un appel, une révision externe et la survie des enregistrements après que la NRS elle-même change ou échoue.

Cet engagement donne aux partisans un meilleur argument. Ils n’ont plus besoin de présenter la NRS comme un remplacement moral pour chaque RIR, ou comme une réponse parfaite à chaque grief historique. Ils peuvent la présenter comme un service qui gagne une confiance définie par une performance observée. Plus la preuve est rigoureuse, plus la thèse positive devient forte.

Il donne également aux sceptiques une meilleure objection. Un sceptique ne devrait pas avoir à dire qu’aucun nouveau service de numérotation ne peut jamais être reconnu parce que le système existant est le système existant. Le sceptique peut dire: voici le test d’unicité que vous avez échoué; voici le cas de migration que vous avez mal géré; voici l’écart d’audit; voici la récupération de sécurité que vous n’avez pas démontrée. Ces objections sont utiles parce que la NRS peut les corriger ou perdre la revendication.

La reconnaissance par la preuve est donc plus qu’une stratégie d’entrée. C’est le principe constitutionnel pour un avenir de numérotation portable. Les opérateurs historiques ne devraient pas être protégés par le parrainage. Les réformateurs ne devraient pas être excusés par l’idéalisme. L’Internet devrait se fier à un service de numérotation dans la mesure où le service prouve les invariants dont tout le monde dépend.

Sources